Un anno fa mi sono interessato per capire quanto il progetto Pixy fosse in uno stato di &quot;evoluzione&quot;. Il professore che cura il progetto mi rispose che il dottorando che sviluppava il codice se ne era andato e che quindi, fino all&#39;arrivo di un nuovo dottorando, non avrebbero potuto evolvere ulteriormente l&#39;applicazione.<br>
<br>Sarebbe interessante cercare di inglobare il progetto Pixy in OWASP. Sempre che al prof. piaccia l&#39;idea ;-)<br><br>Che ne dite? Si potrebbe provare.<br><br>roberto<br><br><div class="gmail_quote">Il giorno 26 marzo 2009 11.44, Luca Carettoni <span dir="ltr">&lt;<a href="mailto:luca.carettoni@ikkisoft.com">luca.carettoni@ikkisoft.com</a>&gt;</span> ha scritto:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Forse mi sono perso, ma mi sembra che Dario parlava di un blackbox<br>
scanner e non di un tool per l&#39;analisi statica del codice.<br>
<br>
Comunque sia, consiglio di dare un occhio a<br>
<a href="http://pixybox.seclab.tuwien.ac.at/pixy/index.php" target="_blank">http://pixybox.seclab.tuwien.ac.at/pixy/index.php</a> ed in particolare al<br>
paper di Kruegel&amp;C. E&#39; pieno di riferimenti interessanti per quanto<br>
riguarda l&#39;analisi del codice PHP e XSS.<br>
<br>
/ikki<br>
<br>
2009/3/25 Paolo Perego &lt;<a href="mailto:thesp0nge@gmail.com">thesp0nge@gmail.com</a>&gt;:<br>
<div><div></div><div class="h5">&gt; Alessio, ovviamente la mia era una battuta... ci mancherebbe altro.<br>
&gt; Volentieri, ne possiamo discutere a Cracovia, ci sarai?<br>
&gt;<br>
&gt; Ciao ciao<br>
&gt; Paolo<br>
&gt;<br>
&gt; 2009/3/25 Alessio Marziali &lt;<a href="mailto:alessio.marziali@cyphersec.com">alessio.marziali@cyphersec.com</a>&gt;:<br>
&gt;&gt; Assolutamente no, in OWASP c&#39;e&#39; una regola ovvero quella<br>
&gt;&gt; d&#39;integrare piu&#39; progetti in unica soluzione per differenti<br>
&gt;&gt; motivi:<br>
&gt;&gt;<br>
&gt;&gt; 1) Business.<br>
&gt;&gt; Una soluzione, minori costi di sviluppo.<br>
&gt;&gt;<br>
&gt;&gt; 2) Mantainance.<br>
&gt;&gt; Il codice e&#39; centralizzato e pertanto tempi e costi di bug<br>
&gt;&gt; fixing ridotti overtime.<br>
&gt;&gt;<br>
&gt;&gt; 3) Timing.<br>
&gt;&gt; Il time frame per sincronizzare Crawler/O2 e&#39; sensibilmente<br>
&gt;&gt; minore a quello richiesto da Crawler ed Orizon.<br>
&gt;&gt;<br>
&gt;&gt; 4) Crawler non ha alcun tipo di riferimento ad Orizon.<br>
&gt;&gt;<br>
&gt;&gt; Detto questo, mi farebbe piacere discutere di come colmare<br>
&gt;&gt; il gap che c&#39;e&#39; tra i nostri due progetti ed unirli.<br>
&gt;&gt; L&#39;architettura di Crawler e&#39; stata disegnata per rendere<br>
&gt;&gt; possible l&#39;integrazione di piu&#39; engines su un unico<br>
&gt;&gt; front-end, non dimenticarlo.<br>
&gt;&gt;<br>
&gt;&gt; Regards,<br>
&gt;&gt; A.<br>
&gt;&gt;<br>
&gt;&gt; ----- Original Message -----<br>
&gt;&gt; Da : Paolo Perego &lt;<a href="mailto:thesp0nge@gmail.com">thesp0nge@gmail.com</a>&gt;<br>
&gt;&gt; A : Alessio Marziali &lt;<a href="mailto:alessio.marziali@cyphersec.com">alessio.marziali@cyphersec.com</a>&gt;<br>
&gt;&gt; Cc: Dario Ghilardi &lt;<a href="mailto:darioghilardi@gmail.com">darioghilardi@gmail.com</a>&gt;,<br>
&gt;&gt; <a href="mailto:owasp-italy@lists.owasp.org">owasp-italy@lists.owasp.org</a><br>
&gt;&gt; Oggetto : Re: [Owasp-italy] Ciao...<br>
&gt;&gt; Data : Wed, 25 Mar 2009 15:26:49 +0100<br>
&gt;&gt;<br>
&gt;&gt;&gt; 2009/3/25 Alessio Marziali<br>
&gt;&gt;&gt; &gt; &lt;<a href="mailto:alessio.marziali@cyphersec.com">alessio.marziali@cyphersec.com</a>&gt;: 2) Una settimana fa ci<br>
&gt;&gt;&gt; &gt; siamo incontrati con Dinis Cruz qui a Londra ed insieme<br>
&gt;&gt;&gt; &gt; abbiamo preso la decisione di unire gli sforzi per<br>
&gt;&gt;&gt; &gt; &quot;sincronizzare&quot; OWASP Code Crawler con OWASP O2. Eoin<br>
&gt;&gt;&gt; Keary ci ha dato il via libera da dublino Se riesci ad<br>
&gt;&gt;&gt; avere qualche info in più sul formato CIR utilizzato per<br>
&gt;&gt;&gt; la costruzione del modello sarebbe grandioso, è la parte<br>
&gt;&gt;&gt; sulla quale sto faticando di più.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; &gt; Successivamente a quanto detto, nella lunga road map che<br>
&gt;&gt;&gt; &gt; ci siamo fissati, sara&#39; necessario rendere Crawler<br>
&gt;&gt;&gt; &gt; capace di &quot;scansionare&quot; codice PHP. Allo stesso tempo<br>
&gt;&gt;&gt; &gt; dovremmo rendere l&#39;applicativo capace d&#39;identificare<br>
&gt;&gt;&gt; &gt; vulnerabiita&#39; XSS/CSRF questo indipendentemente dal<br>
&gt;&gt;&gt; &gt; linguaggio scritto [.NET/Java/PHP].<br>
&gt;&gt;&gt; Cioè praticamente scrivi Orizon 2? :D<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Ciao ciao<br>
&gt;&gt;&gt; Paolo<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; --<br>
&gt;&gt;&gt; &quot;stay hungry, stay foolish&quot;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; OWASP Orizon project, <a href="http://orizon.sourceforge.net" target="_blank">http://orizon.sourceforge.net</a><br>
&gt;&gt;&gt; &quot;enjoy your code review experience&quot;<br>
&gt;&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; &quot;stay hungry, stay foolish&quot;<br>
&gt;<br>
&gt; OWASP Orizon project, <a href="http://orizon.sourceforge.net" target="_blank">http://orizon.sourceforge.net</a><br>
&gt; &quot;enjoy your code review experience&quot;<br>
&gt; _______________________________________________<br>
&gt; Owasp-italy mailing list<br>
&gt; <a href="mailto:Owasp-italy@lists.owasp.org">Owasp-italy@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-italy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-italy</a><br>
&gt;<br>
_______________________________________________<br>
Owasp-italy mailing list<br>
<a href="mailto:Owasp-italy@lists.owasp.org">Owasp-italy@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-italy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-italy</a><br>
</div></div></blockquote></div><br>